悪意の Chrome エクステンション TRANSLATEXT:機密データを窃取する北朝鮮 Kimsuky の手口とは?

Kimsuky Using TRANSLATEXT Chrome Extension to Steal Sensitive Data

2024/06/28 TheHackerNews — 北朝鮮の脅威アクター Kimsuky が、機密情報を盗むように設計された、新たな悪意の Google Chrome エクステンションを使用して、情報収集活動を展開している。この活動を 2024年3月初旬に観測した Zscaler ThreatLabz は、このエクステンションのコードネームを TRANSLATEXT とし、電子メールアドレス/ユーザー名/パスワード/クッキー/ブラウザのスクリーン・ショットなどを、収集する機能を持つと指摘している。この標的型キャンペーンは、韓国の学術界を狙うものであり、特に北朝鮮の政治問題に関連するアカウントを標的にしたものだと見られている。


北朝鮮のハッキング・グループである Kimsuky は、遅くとも 2012年から活動しており、韓国の団体を標的にしたサイバースパイや金銭的動機に基づく攻撃を展開してきたことが判明している。

Lazarus クラスター内のグループである Kimsuky は、Reconnaissance General Bureau (RGB) の一部でもあり、APT43/ARCHIPELAGO/Black Banshee/Emerald Sleet/Springtail/Velvet Chollima などの名前でも追跡されている。

この数週間における Kimsuky は、Microsoft Office の既知のセキュリティ上の欠陥である、CVE-2017-11882 を武器化してキーロガーを配布していた。さらに、航空宇宙/防衛分野を標的とした攻撃では、仕事をテーマにしたルアーを用いてデータ収集を行い、二次的なペイロードの実行機能を備えたスパイ・ツールの投下を目論んでいた。

サイバーセキュリティ企業の CyberArmor は、「このキャンペーンを Niki と名付けた。これまで公に文書化されたことのないバックドアが用いられているが、攻撃者の基本的な侵害パターンは偵察であり、その先に、追加のペイロード投下によるマシンの乗っ取りや、リモート操作の可能性があると思われる」と述べている。

Chrome Extension

現時点において、この新たに発見された活動の、イニシャル・アクセスに関する正確な手段は不明である。しかし、Kimsuky は、スピアフィッシングやソーシャル・エンジニアリング攻撃を用いて、感染チェーンを活性化させることで知られている。

攻撃の起点となるのは、韓国語のワープロ文書と実行ファイルを取り込んでいる、韓国の軍事史に関する ZIP アーカイブだとされる。

その、ZIP に含まれる実行ファイルが起動されると、攻撃者が管理するサーバから、 PowerShell スクリプトが取得される。続いて、感染した被害者に関する情報が GitHub リポジトリにエクスポートされ、Windows ショートカット (LNK) ファイルにより、追加の PowerShell コードがダウンロードされる。

Zscaler によると、2024年2月13日に作成された、”GoogleTranslate.crx” という名前の GitHub アカウントが、短期間だが TRANSLATEXT エクステンションをホスティングしていたという。

セキュリティ研究者の Seongsu Park は、「2024年3月7日時点では、一連のファイルがリポジトリに存在していたが、翌日には削除されていた。このことから推測されるのは、ファイルの露出を最小限に抑えて、特定の個人をターゲットにした短期間の侵害で、マルウェア群を使用するという Kimsuky の計画である」と述べている。

Google 翻訳を装う TRANSLATEXT には、悪意の JavaScript コードが組み込まれており、Google/Kakao/Naver などのサービスの、セキュリティ対策をバイパスするよう設計されていた。さらに、メールアドレス/認証情報/クッキーなどを吸い上げ、ブラウザのスクリーン・ショットをキャプチャし、盗み出したデータを流出させるようになっていた。

その一方で、Blogger Blogspot の URL からコマンドを取得し、新しく開いたタブのスクリーン・ショットを撮影し、Web ブラウザ内の全てのクッキーを削除する機能も搭載していたという。

Park は、「Kimsuky グループの主な目的の一つは、貴重な情報を収集するために、学術関係者や政府関係者を監視することだ」と述べている。

このインシデントにあるのは、韓国と北朝鮮の政治的な問題ですが、Kimsuky にような APT が、悪意の Chrome エクステンションを配布するという形態は、あまり聞いたことがありません。見方を変えると、さまざまな領域において、Chrome エクステンションの悪用が増加しているのかもしれません。とても簡単にダウンロード/インストールが可能なエクステンションですが、ご利用については、十分に、お気をつけください。よろしければ、Chrome + Extension で検索も、ご利用ください。